一个月疯狂窃取5.4亿美元，Lazarus Group黑客组织拿钱造火箭

近日，美国财政部指控有朝鲜政府背景的黑客组织Lazarus Group3月从Axie Infinity 侧链 Ronin Network疯狂盗窃了5.4亿美元。

上周四(4月14日)，美国财政部发现被盗资金的以太坊钱包地址和攻击者之间的联系，随即将该地址添加到外国资产控制办公室 (OFAC) 特别指定国民 ( SDN ) 名单中，以此进行制裁。

情报和执法机构在一份声明中表示，“联邦调查局将与财政部、美国政府其他的合作伙伴进行协调，继续揭露和打击朝鲜的非法攻击活动，包括通过网络犯罪、加密货币盗窃等为该国创造收入。”

公开资料显示，Ronin Network加密货币盗窃案是迄今为止第二大网络盗窃案。攻击者在3月23日，从 Ronin 跨链桥中窃取了173600以太币(ETH) 和2550万枚 USDC。事件曝光一周后，Ronin Network 在其披露报告中解释说：“攻击者使用了被黑的私钥伪造取款。”

美国财政部的制裁措施包括禁止美国个人、实体和相关地址进行交易，以确保国家资助的集团无法兑现这些资金。但结果并非如此，Elliptic的一项分析发现，截至4月14日，该攻击者已成功清洗了18%的盗窃的数字货币(约9700万美元)。

“首先，被盗的USDC通过去中心化交易所 (DEX) 交换为ETH，以防止其被没收，”Elliptic指出，“通过在DEX上转换代币，黑客躲开了中心化交易所进行的反洗钱 (AML) 和‘了解你的客户’ (KYC) 检查。”

近8030万美元的洗钱资金涉及使用了Tornado Cash，这是一种以太坊区块链上的混合服务，旨在掩盖资金的踪迹，另外价值970万美元的ETH可能以同样的方式进行洗钱。

据悉，Lazarus Group黑客组织背后有着朝鲜战略利益的支撑，自 2017 年以来就有进行加密货币盗窃的记录，以绕过制裁并为该国的核弹、弹道导弹计划提供资金。

据Chainalysis称，该组织在2021年从加密平台掠夺了价值约4亿美元的数字资产，比2020 年增长了40%。同时，被盗资金中只有20%是比特币，以太币则占被盗资金的一半以上，约58%。

尽管美国政府对Lazarus Group黑客组织实施了制裁，但该组织最近依旧开展了攻击活动，利用木马化的去中心化金融 (DeFi) 钱包应用程序的Windows系统后门，并从毫无戒心的用户那里窃取资金。

而这还仅仅是其中的一部分。在博通赛门铁克近日披露的另一次网络攻击中，该攻击者还针对在韩国运营的化学组织进行攻击，这也被认为是“梦想工作行动”的恶意软件活动的延续，谷歌威胁分析小组2022年3月发布的调查结果也证实了这一点。

2022年1月，赛门铁克检测到入侵开始于一个可疑的HTM文件，该文件作为网络钓鱼电子邮件中的链接或从Internet下载，打开后会触发感染序列，最终成功入侵远程服务器，以促进进一步的入侵。赛门铁克评估后表示，攻击的目标是“获取知识产权，以进一步推动朝鲜在这一领域的追求”。

为此，美国国务院宣布悬赏500万美元，对Lazarus Group黑客组织进行制裁。以太坊开发商Virgil Griffith因帮助朝鲜使用虚拟货币逃避制裁而被判处五年零三个月的监禁。

值得注意的是，攻击者正在针对加密货币发起攻击。仅2022年第一季度，攻击者就盗窃了价值13亿美元的加密货币，2021年全年被盗窃的加密货币总价值32亿美元，这表明针对加密平台的攻击行为正在“急剧增加”。

Chainalysis发布的一份报告显示，在2022年前三个月被盗的所有加密货币中，近97%来自 DeFi协议，高于2021年的72%和2020年的30%。对于DeFi协议，最大的盗窃通常是由于代码错误，黑客攻击者正是利用了这一漏洞，窃取了大量的加密货币。

参考来源：https://thehackernews.com/2022/04/lazarus-hackers-behind-540-million-axie.html